SparkcatマルウェアはOCRを使用して画像から暗号ウォレットの回復フレーズを抽出します

Sparkcatと呼ばれる新しいマルウェアキャンペーンは、AppleとGoogleの両方のアプリストアの両方で偽のアプリを活用して、暗号通貨ウォレットに関連する被害者のニーモニックなフレーズを盗みました。

攻撃は光学文字認識(OCR)モデルを活用して、写真ライブラリからコマンドアンドコントロール(C2)サーバー、カスペルスキーの研究者であるDmitry KalininおよびSergey Puzanに財布の回復フレーズを含む選択画像を除去します 言った テクニカルレポートで。

このモニカーは、分析モジュールを装っているSparkと呼ばれるJavaコンポーネントを採用する組み込みソフトウェア開発キット(SDK)への参照です。現在、感染がサプライチェーン攻撃の結果であるか、それとも開発者によって意図的に導入されたのかは不明です。

OCR機能を備えたAndroidマルウェアが野生で検出されたのはこれが初めてではありませんが、AppleのApp Storeでそのようなスティーラーが発見された最初の例の1つです。 Google Playの感染したアプリは、242,000回以上ダウンロードされたと言われています。

サイバーセキュリティ

このキャンペーンは、2024年3月以来アクティブであると評価されており、アプリは公式アプリストアと非公式の両方のアプリストアを介して配布されています。アプリケーションは、人工知能(AI)、食品配信、およびWeb3アプリを装備していますが、それらのいくつかは正当な機能を提供しているようです。

「Androidマルウェアモジュールは、Googleのもので構築されたOCRプラグインを復号化して起動します MLキットライブラリ、そしてそれを使用して、ギャラリー内の画像で見つけたテキストを認識します。「C2から受け取ったキーワードに一致する画像がサーバーに送信されました。」

同様に、SparkCatのiOSバージョンはGoogleのMLキットライブラリに依存しており、OCRがニーモニックフレーズを含む画像を盗みます。マルウェアの顕著な側面は、モバイルアプリではめったに観察されないC2の錆ベースの通信メカニズムの使用です。

使用されたキーワードのさらなる分析とこれらのアプリが利用可能になった地域は、キャンペーンが主にヨーロッパとアジアのユーザーを対象としていることを示しています。悪意のある活動は、中国人に堪能な脅威俳優の仕事であると評価されています。

「このトロイの木馬を特に危険なものにしているのは、アプリ内に悪意のあるインプラントが隠されていることを示していないことです」と研究者は言いました。 「それが要求する権限は、そのコア機能に必要であるように見えるか、一見無害に見えるかもしれません。」

この開示は、Zimperium Zlabsが銀行および政府のアプリケーションを装ってWhatsAppを介して悪意のあるAPKファイルを配布し、アプリが敏感な障害および財務情報を収穫できるようにすることにより、インドのAndroidデバイスの所有者をターゲットにした別のモバイルマルウェアキャンペーンを詳述したことです。

サイバーセキュリティ会社は、キャンペーンにリンクされている1,000を超える偽のアプリを特定しており、攻撃者はSMSメッセージと1回限りのパスワード(OTP)のexfiltrationポイントとして約1,000個のハードコーディング電話番号を活用していると述べました。

「1回限りのパスワード(OTP)盗難のコマンドアンドコントロール(C&C)サーバーのみに依存する従来の銀行トロイの木馬とは異なり、このマルウェアキャンペーンはライブ電話番号を活用してSMSメッセージをリダイレクトし、法執行機関向けの追跡可能なデジタルトレイルを残します。このキャンペーンの背後にある脅威アクターを追跡します」と「セキュリティ研究者Aazim Yaswant 言った

Fatboypanelという名前の攻撃キャンペーンは、これまでに2.5 GBの機密データを蓄積していると言われています。これらはすべて、認証を使用できる人がアクセスできるFireBaseエンドポイントでホストされています。

これには、インドの銀行からのSMSメッセージ、銀行の詳細、クレジットカード情報とデビットカード情報、および約50,000人のユーザーが属する政府発行の識別の詳細が含まれます。マディヤ・プラデシュ。

Sparkcatマルウェア

これらのインシデントは、公式のアプリストアフロントにアップロードされていても、それらをダウンロードする前に、レビューを精査したり、開発者の信頼性をチェックすることを含む、適切にコードアプリを適切に審査することの重要性について注意しています。

開発は、の出現にも続きます 24の新しいマルウェアファミリ セキュリティ研究者のパトリック・ウォードルによると、2024年に2024年にApple MacOSシステムをターゲットにしています。

サイバーセキュリティ

これは、デスクトップオペレーティングシステムのユーザーを対象としたポセイドン、アトミック、クトゥルフなどの情報盗難攻撃の急増と一致します。

「インフォシーラーは、マッコーを活用することが多いことが多く、ネイティブを悪用します Applescript フレームワーク、「パロアルトネットワークユニット42研究者トムファクターマン、チェンエルリッチ、トムシャロン 言った 今週公開されたレポートで。

「このフレームワークは広範なOSアクセスを提供し、自然言語の構文で実行を簡素化します。これらのプロンプトは正当なシステムプロンプトのように見える可能性があるため、脅威アクターはこのフレームワークを使用してソーシャルエンジニアリングを介して被害者をだまします。」

この記事は面白いと思いましたか?フォローしてください ツイッター そして LinkedIn 投稿するために、私たちが投稿する排他的なコンテンツを読むために。



出典

関連記事同じ著者から